asseco Aimtec murr

Obchodní schopnosti kyberzločinců

Vytvářet a šířit ransomware je stále jednodušší a ve své podstatě k tomu nejsou nutné žádné speciální dovednosti. Ve skutečnosti potřebují kybernetičtí zločinci jen odhodlání realizovat své nekalé úmysly a mít přístup k tzv. temnému webu, kde jsou sady pro tvorbu malware prodávány stejně jako boty nebo hračky přes internet.

 

Na červencové konferenci Black Hat 2017 zveřejnila společnost Sophos podrobnou studii s názvem Ransomware as a Service (Raas): Deconstructing Philadelphia, kde se Dorka Palotay, výzkumnice budapešťské pobočky globální sítě pro zkoumání hrozeb SophosLabs, zaměřila na pochopení vnitřních mechanismů kitu na tvorbu ransomware – sady Philadelphia. Tuto sadu si dnes může za 400 dolarů pořídit naprosto kdokoli. Po zakoupení mohou noví „uživatelé“ unést a držet vaše počítačová data jako rukojmí a vyžadovat za jejich osvobození výkupné. Ano, je to přece o ransomware.

Autoři tohoto RaaS kitu přistupují ke svému podnikání podobně jako legitimní softwarové firmy, které prodávají své produkty a služby. Zatímco samotná Philadelphia je dostupná na šedých trzích v rámci temného webu, marketingové aktivity jsou veřejné - na YoutTube je k dispozici video, které přináší podrobnosti o samotném kitu i o rozsáhlých možnostech přizpůsobení výsledného ransomware. A videem to nekončí, součástí webu provozovaného na generické TLD doméně .com je i podrobný popis, jak kit používat.

Koncept ransomware jako služba sice není zcela nový, nicméně novinkou je právě marketingové úsilí vyzdvihující atraktivitu přístupu „připrav si svůj vlastní ransomware útok“.

Sledování obětí a (možná) smilování

Philadelphia není zajímavá jen marketingem. Pozornost si zaslouží i řada pokročilých voleb, pomocí kterých mohou „kupující“ výsledný ransomware přizpůsobit svým konkrétním představám a lépe jej zacílit na potenciální oběti. Mezi tyto možnosti patří podpora sledování oběti na mapách Google (Track victims on a Google map) nebo volba Give Mercy pro případné slitování a dešifrování určitých souborů zdarma. Nechybí ani tipy na vytvoření vlastní kampaně nebo popis nastavení řídicího centra a postupů pro výběr peněžních částek.

Jistou ironií je, že Give Mercy nemusí být projevem vstřícnosti k obětem, ale jakousi zvrácenou formou zadních vrátek umožňujících zločincům dostat se z ošemetných situací, např. během testování nebo v případě nechtěného útoku na přátele.

Volba pro sledování obětí na mapách Google zní trochu děsivě a počítačovým zločincům umožňuje podívat se na „cíle“ svých útoků z demografického pohledu. Získané informace jsou vcelku důležité, protože představují kvalifikované vstupy pro rozhodování, zda útok zopakovat, zda ransomware nějak modifikovat nebo třeba zda neuvažovat právě o povolení „soucitu“.

Další funkce za přípatek

Ani jedno z uvedených rozšíření, stejně jako řada dalších funkcí, není jedinečnou záležitostí Philadelphie. Ve skutečnosti jsou to příklady funkcionalit nejnovějších kitů a potvrzení toho, že ransomware jako služba je čím dál tím podobnější legálnímu softwarovému trhu, ale v opravdu globálních rozměrech.

„Za pozornost určitě stojí fakt, že Philadelphia stojí 400 USD. A další ransomware kity se prodávají v cenách od 39 do 200 dolarů,“ uvádí dále Dorka Palotay. „Nicméně čtyři stovky jsou pro zájemce o Philadelphii stále ještě dobrou cenou, protože za ně získají i budoucí aktualizace, neomezený přístup a možnost vytvořit libovolný počet vlastních variant ransomware. Jinými slovy je to v podstatě stejné, jako u běžného software dostupného v modelu SaaS, kdy mají zákazníci možnost využívat vždy aktuální verzi.“

Philadelphia přináší navíc i tzv. mosty – PHP skript, který umožňuje správu komunikace mezi útočníky a oběťmi včetně ukládání informací o jednotlivých útocích.


Mezi další volby umožňující přizpůsobení výsledného ransomware útoku patří v případě Philadelphie úprava vyděračské zprávy pro oběti, a to včetně její barvy nebo toho, zda se má zobrazit ještě před zašifrováním souborů. Určitě nemilá je i tzv. Ruská ruleta, kdy aktivací této volby mohou autoři zajistit smazání některých souborů po uplynutí předem stanové lhůty, která se obvykle pohybuje v řádu hodin. Mechanismus ruské rulety je nicméně v ransomware kitech poměrně běžný a jeho účelem je vyvolat paniku a donutit uživatele k rychlejšímu zaplacení výkupného.

Možnosti přizpůsobení i zmiňované mosty zvyšují zisk a dávají kybernetickému zločinu zcela nové rozměry. Obojí by přitom mohlo vést k rychlejším inovacím ransomware jako takového. Mimochodem, jak vyplývá z podrobných analýz dalších RaaS platforem, existuje v souvislosti s konceptem ransomware jako služba řada různých zdrojů příjmů, a to od procentuálního dělení výkupného přes prodej předplatného až po zpřístupňování dashboardů umožňující sledování útoků.

Ukradený kód

Globální síť pro zkoumání hrozeb SophosLabs také uvádí, že někteří kybernetičtí zločinci již využívají „cracknuté“ nebo pirátské verze kitu Philadelphia a na jejich základě pak prodávají svoji vlastní ošizenou variantu, pochopitelně za menší peníze.

Samotné krádeže ničím novým nejsou, nicméně nesporně zajímavá je míra tohoto počínání. Předpřipravené hrozby, které od útočníků nevyžadují skoro žádné znalosti a jsou snadno dostupné, se navíc neustále vyvíjí, a společnost Sophos předpokládá, že trend okrádání lumpů lumpy nadále poroste.

Jak se chránit?

Za nejlepší způsoby ochrany proti všem typům ransomware považuje Sophos následující opatření:

- Pravidelně zálohujte a nejnovější zálohu vždy ukládejte mimo primární lokalitu. O data vás mohou vedle ransomwarového útoku připravit i další situace, od požáru nebo zatopení budovy přes krádež nebo poškození notebooku až po náhodné smazání souboru. Nezapomínejte proto zálohovat a zálohy nejlépe i šifrovat.

- Nepovolujte zpracování maker v dokumentech přijatých prostřednictvím elektronické pošty. Ve svém kancelářském balíku vypnul Microsoft automatické zpracování maker jako poměrně spolehlivé bezpečnostní opatření. Celá řada malware se ale spoléhá na to, že vás přesvědčí o opaku. Nepovolujte makra!

- Buďte opatrní ohledně nevyžádaných příloh. Podvodníci se spoléhají na dilema otevřít či neotevřít neočekávaný dokument. Máte-li jakékoli pochybnosti, pak takové přílohy neotevírejte.

- Záplatujte často a včas. Malware, který se nešíří prostřednictvím maker v dokumentech, se spoléhá na bezpečnostní chyby v populárních aplikacích včetně kancelářských balíků, webových prohlížečů, technologie Flash apod. Čím dříve s opravou těchto chyb začnete, tím méně otevřených děr budou mít podvodníci k dispozici. V souvislosti s ransomware byste se měli určitě ujistit, že používáte nejaktuálnější verzi Microsoft Wordu a prohlížeče PDF dokumentů.

- Používejte řešení, které umí zastavit pokusy ransomware o neautorizované šifrování souborů. Můžete vyzkoušet řešení Sophos Home, které je zdarma dostupné pro Windows i Mac.

 
Publikováno: 8. 8. 2017 | Počet přečtení: 687